拿著智能手機的女人

最近的一項研究中的大多數參與者都不知道他們的電子郵件地址和其他個人信息在平均五次數據洩露中受到了損害。

LinkedIn 數據洩露事件已經過去 XNUMX 年,Adobe 客戶成為網絡攻擊者的受害者已經過去了 XNUMX 年,而 Equifax 成為數百萬人私人信息曝光的頭條新聞已經過去了 XNUMX 年。

密歇根大學信息學院的研究人員向 413 人展示了來自多達三個人的事實 違反 涉及他們自己的個人信息。 研究人員發現人們不知道 74% 的違規行為。

“這令人擔憂。 如果人們不知道他們的信息在洩露中被暴露,他們就無法適當地保護自己免受洩露的影響,例如身份盜用風險的增加,”博士生鄒亦欣說。

據報導 會議論文,研究人員還發現,大多數違規者將事件歸咎於自己的個人行為——在多個帳戶中使用相同的密碼; 長時間保留同一電子郵件; 並註冊了“粗略”賬戶——只有 14% 的人將問題歸因於外部因素。


內在自我訂閱圖形


“雖然消費者有責任 當心 喬治華盛頓大學計算機科學副教授亞當·阿維夫(Adam Aviv)表示,關於他們與誰共享個人信息,違規行為的過錯幾乎總是歸咎於受影響公司的安全措施不足,而不是違規行為的受害者。

我是否曾經被用過 本研究中使用的數據庫列出了過去十年中近 500 個在線漏洞和 10 萬個被盜賬戶。 根據身份盜竊資源中心的數據,影響美國人的數據洩露總數甚至更高,僅在 1,108 年美國就有超過 2020 次洩露。

之前的研究詢問了一般情況下對數據洩露的擔憂和反應,或者它依賴於自我報告的數據來確定特定事件如何影響人們。 本研究使用了 Have I Being Pwned 數據集中的公共記錄,其中包含受數據洩露影響的人員。 研究團隊收集了 792 份響應,涉及 189 種獨特的違規行為和 66 種不同的公開數據類型。 在查詢的 431 個參與者電子郵件地址中,73% 的參與者暴露在一次或多次違規中,最多的 20 個。

在所有被洩露的信息中,電子郵件地址被洩露最多,其次是密碼、用戶名、IP 地址和出生日期。

大多數參與者表達了中等程度的擔憂,並且最擔心物理地址、密碼和電話號碼的洩露。 為回應他們被盜的帳戶,他們報告稱,有 50% 的違規行為已採取行動或打算更改密碼。

“這可能是因為被洩露的帳戶不包含敏感信息,因此某些被洩露的服務被認為是‘不重要的’。 然而,人們沒有充分考慮或意識到洩露的個人信息可能如何被濫用並傷害他們,也可以解釋對違規行為的低關注度,”卡爾斯魯厄理工學院博士後研究員彼得·梅耶 (Peter Mayer) 說。

風險範圍從憑據填充(或使用洩露的電子郵件地址和密碼來訪問受害者的其他帳戶)到身份盜用和欺詐。

大多數違規行為從未成為新聞,而且通常很少或根本沒有通知受影響的個人。

“今天的數據洩露通知要求是不夠的,”鄒說。 “要么是被入侵的公司沒有通知人們,要么是通知的製作非常糟糕,以至於人們可能會收到電子郵件通知或信件但無視它。 在之前的工作中,我們分析了發送給消費者的數據洩露通知信,發現他們通常需要高級閱讀技能和模糊風險。”

在研究結束時,研究人員向參與者展示了影響他們的完整數據洩露清單,並提供了信息以採取保護措施來防範數據洩露帶來的潛在風險。

如何避免數據洩露

當您的數據被盜時: 

  • 使用免費服務檢查帳戶是否屬於違規行為的一部分,例如 https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • 仔細閱讀違規通知。
  • 像 FTC 這樣的網站 https://identitytheft.gov/ 可以幫助創建身份盜用後的恢復計劃。
  • 確保更改被破壞帳戶的密碼以及使用相同密碼的任何其他帳戶的密碼。 除非出現新的漏洞,否則執行一次就足夠了。
  • 註冊您獲得的身份監控服務。 雖然不完美,但總比沒有好。
  • 如果您因違規行為而遭受實際傷害,您也可能有權獲得進一步支持。

為了防止未來的數據洩露: 

  • 為每個在線帳戶使用唯一的密碼。 沒有人能記住很多這樣的密碼,因此最好使用密碼管理器來存儲和創建強密碼。
  • 盡可能使用雙因素身份驗證,除了用戶名和密碼之外,還需要電話驗證碼才能訪問帳戶。
  • 凍結三大機構(Equifax、Experian 和 TransUnion)的信用報告,使身份竊賊更難造成經濟損失。 看 這裡.
  • 考慮使用諸如 使用Apple登錄  在創建新帳戶時保持電子郵件地址的私密性(服務提供商只能看到為該帳戶唯一創建的電子郵件地址)。

“這項研究的結果進一步強調了當前數據和安全漏洞通知法的失敗和缺陷,”密歇根大學信息學助理教授 Florian Schaub 說。

“我們在工作中一次又一次發現,旨在保護消費者的重要立法和法規在實踐中由於受影響公司的溝通不力而變得無效,這些公司需要對保護客戶數據承擔更多責任。”

研究人員指出,歐洲的《通用數據保護條例》規定對不保護消費者的公司處以巨額罰款,以此作為解決問題的手段。 該法律促使世界各地的公司重新調整其隱私計劃和保護措施。

資源: 密歇根大學

 

關於作者

勞雷爾·托馬斯-密歇根

這篇文章最初出現在未來